[Gutl-l] Sobre iptables 2

Alexis Verano Glez Wed, 30 Dec 2020 06:47:21 -0800

Buenos días,

Hace dias, envié un correo con un scritp de iptables, donde planteaba
varias dudas, despues de buscar, buscar, leer, leer, .... Fui haciendo
modificaciones y finalmente, encontré algunas soluciones a las tareas
planteadas.




Tareas planteadas,

- Funcionamiento con todas las políticas por defecto en DROP.
- Redireccionar HTTP, desde la VPN, al servidor de hosting.
- Redireccionamiento de correos desde la VPN, al servidor de SMTP.
- Salida del servidor proxy hacia internet a travéz de su proxy padre.


Aquí le dejo una copia, para que los entendidos de este tema, o todos
los que deseen aportar argumentos para mejorar la seguridad, u otra
forma de gestión de las reglas, serán bienvenidos.


Una observación, con la linea siguiente, encontré diversas variante de
expresar, pero en algunos casos, funcionaban las salidas, y los
redireccionamiento no y asi viceversa, expresandolo de la siguiente
forma, entonces funcionan, todas las reglas planteadas.

iptables -t nat -A POSTROUTING -j MASQUERADE




********************************************************************
#!/bin/sh
echo " Aplicando reglas al firewall..."

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X

## ESTABLECEMOS POLITICAS POR DEFECTO
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#####################
## DEFINICION DE VARIABLES ##
#####################
## Nota: ens19 es el interfaz conectado al ROUTER (WAN) y ens18 a la
LAN

## RED EXTERNA
IF_WAN=ens19
IP_WAN=172.16.14.5
RED_WAN=172.16.0.0/12

WAN_SMTP=172.16.0.19,172.16.9.186
WAN_PROXY=172.16.0.20

## RED INTERNA
IF_LAN=ens18
IP_LAN=192.168.100.244
IP_ADMINRED=192.168.100.20
RED_LAN=192.168.100.0/24

SRV_SMTP=192.168.100.13
SRV_HTTP=192.168.100.7
SRV_PROXY=192.168.100.20

####################
## EMPEZAMOS A FILTRAR ##
####################

############################
## POLITICIAS INTERNAS DEL FIREWALL ##
############################
# Permitimos hacer forward de paquetes en el firewall
echo 1 > /proc/sys/net/ipv4/ip_forward

# Enmascaramiento de la red local
iptables -t nat -A POSTROUTING -j MASQUERADE

## Acceso total desde el localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Aceptamos paquetes que tienen estado relacionados y establecidos
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


###############################################
## ACCESO DE LOS ADMINISTRADORES AL FIREWALL ##
###############################################

iptables -A INPUT -s $IP_ADMINRED -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d $IP_ADMINRED -p tcp --sport 22 -m state --state
RELATED,ESTABLISHED -j ACCEPT


###########################
### REDIRECCIONAMIENTOS ###
###########################

# ACCESO AL SERVIDOR HOSTING
#--------------------------------------------------------------------
---------------------
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to
$SRV_HTTP:80
#--- Acceso desde todas las redes externas ----------------------------
-------------------
iptables -A FORWARD -i ens18 -s $SRV_HTTP -j ACCEPT
iptables -A FORWARD -o ens18 -d $SRV_HTTP -j ACCEPT
#--- Acceso desde una red especifica ----------------------------------
-------------------
#iptables -A FORWARD -i ens18 -s $SRV_HTTP -d 172.16.9.186/29 -j ACCEPT
#iptables -A FORWARD -o ens18 -d $SRV_HTTP -s 172.16.9.186/29 -j ACCEPT


# ENTRADA DE CORREOS DESDE LA RED EXTERNA
#--------------------------------------------------------------------
---------------------
iptables -t nat -A PREROUTING -p tcp --dport 25 -i $IF_WAN -j DNAT --to 
$SRV_SMTP:25
#--- Acceso desde todas las redes externas ----------------------------
-------------------
#iptables -A FORWARD -i ens18 -s $SRV_SMTP -j ACCEPT
#iptables -A FORWARD -o ens18 -d $SRV_SMTP -j ACCEPT
#--- Acceso desde redes especificas ---------------------------------
---------------------
iptables -A FORWARD -i ens18 -s $SRV_SMTP -d $WAN_SMTP -j ACCEPT
iptables -A FORWARD -o ens18 -d $SRV_SMTP -s $WAN_SMTP -j ACCEPT


################################
## REGLAS DE ENTRADA A LA WAN ##
################################

# Permitir ping desde la red wan
#iptables -A INPUT -p ICMP -s $RED_WAN -j ACCEPT


###################################
## REGLAS DE SALIDA DESDE LA LAN ##
###################################

## SERVIDORES
##-------------------------------------------------
## Salida del servidor proxy local hacia el servidor proxy del
proveedor
iptables -A FORWARD -p tcp -i ens18 -o ens19 -s $SRV_PROXY -d
$WAN_PROXY --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp -o ens18 -i ens19 -d $SRV_PROXY -s
$WAN_PROXY --sport 3128 -j ACCEPT

# Y denegamos las demas peticiones por FORWARD.
# (Cualquiera de las siguientes dos variantes FUNCIONAN)
iptables -A FORWARD -s 192.168.100.0/24 -i ens18 -j DROP
#iptables -A FORWARD -i ens18 -o ens19 -s 192.168.100.0/24 -j REJECT


##########################
## SEGURIDAD AL IPTABLES ##
##########################

# BLOQUEAR ESCANEOS DE PUERTOS CON NMAP
#iptables -N SCANNER
#iptables -A SCANNER -j DROP
#iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IP_WAN -j
SCANNER
#iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IP_WAN -j SCANNER
#iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IP_WAN -j SCANNER
#iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IP_WAN -j SCANNER
#iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i
$IP_WAN -j SCANNER
#iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IP_WAN -j
SCANNER
#iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IP_WAN -j
SCANNER

# Cerramos TODOS los puertos
#iptables -A INPUT -p TCP --dport 1:1024 -j DROP
#iptables -A INPUT -p UDP --dport 1:1024 -j DROP

echo " OK..!"


##### FIN DEL SCRIPT #####


********************************************************************


Saludos, y gracias a todos, por la atención.



-- 

Lic. Alexis Verano GonzálezEsp. A Ciencias Informáticas | Administrador de 
REDGrupo Empresarial de Servicios de Transporte Automotor "GEA"Ministerio de 
TransporteCorreo-e: alexis.verano@gea.transnet.cuWeb: 
https://www.gea.transnet.cuTel: (+53) 7881-9057 | (+53) 5 994-6579
---
<br>
Somos el GEA, Grupo Empresarial de Servicios de Transporte Automotor 
perfeccionado.
<br>
Vis&iacute;tenos en: <a 
href="https://www.gea.transnet.cu";>https://www.gea.transnet.cu</a>, <a 
href="https://www.facebook.com/OSDEGEA2014";>Facebook</a> y <a 
href="https://twitter.com/cuba_gea";>Twitter</a>
<br>

_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

[Gutl-l] Sobre iptables 2

Responder a